Un bug in Microsoft 365 e Copilot ha fatto sì che l’assistente AI riepilogasse le e-mail esplicitamente etichettate come riservate, secondo un rapporto di Bleeping Computer. Secondo quanto riferito, il bug di sicurezza di Copilot ha aggirato le politiche di prevenzione della perdita di dati (DLP) delle organizzazioni, utilizzate per proteggere le informazioni sensibili.
Il bug ha interessato specificamente la chat di Copilot. Secondo la documentazione di Microsoft, le e-mail con un’etichetta riservata venivano “elaborate in modo errato dalla chat di Microsoft 365 Copilot”.
Per contestualizzare, Copilot Chat, che è stato lanciato lo scorso autunno sulle app Microsoft 365 come Phrase, Excel, Outlook e PowerPoint per i clienti aziendali, è presentato come un assistente AI sensibile ai contenuti. Aziende tecnologiche come Microsoft stanno integrando gli assistenti IA praticamente in tutti i loro prodotti, creando nel processo nuovi tipi di rischi per la sicurezza informatica. Le aziende che utilizzano assistenti IA potrebbero, advert esempio, essere a rischio di iniezione tempestiva e di violazioni della conformità dei dati.
Velocità della luce mashable
Moltbook è un “incubo per la sicurezza” in attesa di accadere, avverte l’esperto
Il problema della chat di Copilot, tracciato internamente come CW1226324è stato rilevato per la prima volta il 21 gennaio e influisce sulla funzione di chat “scheda lavoro” di Copilot, riporta Bleeping Laptop. Secondo l’avviso di Microsoft, Copilot Chat raccoglieva e riassumeva erroneamente le e mail dalle cartelle Posta inviata e Bozze degli utenti, anche quando tali messaggi avevano etichette di riservatezza progettate per bloccare l’accesso automatizzato. In altre parole, le e-mail e le informazioni sensibili che avrebbero dovuto essere vietate non lo erano.
Microsoft ha confermato a Bleeping Laptop che la causa period un problema di codice e ha affermato di aver iniziato a implementare una soluzione all’inizio di febbraio. L’azienda continua a monitorare l’implementazione e a contattare alcuni utenti interessati per verificare che la patch funzioni. Inoltre, Microsoft non ha rivelato quante organizzazioni siano state colpite, sottolineando che l’ambito potrebbe cambiare man mano che l’indagine continua.
